Skip to main content

Report du roulement de la clé de signature de clé (KSK)

La Société pour l'attribution des noms de domaines et des numéros sur Internet (ICANN) a annoncé aujourd'hui que le plan pour changer la clé cryptographique utilisée pour protéger le système des noms de domaine (DNS) a été reporté.

Le changement de clé consiste à générer une nouvelle paire de clés cryptographiques et à distribuer la nouvelle composante publique aux résolveurs qui valident les extensions de sécurité du système des noms de domaine (DNSSEC). Compte tenu du nombre estimé d'utilisateurs Internet qui ont recours à des résolveurs validant les signatures DNSSEC, on estime qu'un internaute sur quatre, soit 750 millions de personnes à travers le monde, pourraient être affectées par le roulement de la clé de signature de clé.

Le changement ou « roulement » de la clé de signature de clé (KSK), prévu initialement pour le 11 octobre, a été reporté en raison des dernières données obtenues, qui montrent qu'un nombre significatif de résolveurs utilisés par les fournisseurs de services Internet (FSI) et les opérateurs de réseau ne sont pas encore prêts pour cette mise en œuvre. Ces nouvelles données sont disponibles grâce à une très récente fonctionnalité du protocole DNS qui permet aux résolveurs de communiquer aux serveurs racine quels sont les clés qui ont été configurées.

Il peut y avoir plusieurs raisons pour lesquelles les opérateurs n'ont pas installé la nouvelle clé dans leurs systèmes : certains d'entre eux n'ont peut-être pas configuré correctement leurs logiciels, et un problème récemment découvert dans le logiciel d'un résolveur largement utilisé semble ne pas permettre les mises à jour automatiques, pour des raisons qui sont en cours d'étude.

L'ICANN lance un appel à sa communauté, y compris au Comité consultatif sur la sécurité et la stabilité, aux Registres Internet régionaux, aux groupes d'opérateurs de registre et aux autres groupes afin d'explorer et résoudre ces problèmes.

En attendant, l'ICANN considère qu'il est prudent de suivre son processus et de reporter le changement de la clé plutôt que de risquer qu'un grand nombre d'internautes en soient affectés de manière négative. L'ICANN s'engage à poursuivre ses efforts de formation, de communication et de discussion avec les organisations techniques concernées afin que tout soit prêt pour le changement.

« La sécurité, la stabilité et la résilience du système des noms de domaine est notre mission fondamentale. Nous préférons procéder de manière prudente et raisonnable plutôt que de mettre en œuvre le roulement à la date annoncée du 11 octobre », a indiqué Göran Marby. « Il serait irresponsable de procéder au roulement de la clé après avoir identifié ces nouveaux problèmes qui pourraient avoir une incidence négative sur sa mise en œuvre et, par conséquent, sur les utilisateurs finaux. »

La nouvelle date du roulement de la clé n'a pas été déterminée. Le bureau du directeur de la technologie a indiqué envisager de reporter le roulement au premier trimestre 2018, mais cette date est tentative car elle dépend des résultats des recherches entamées pour mieux comprendre les problèmes identifiés et des actions à mettre en place pour atténuer tout risque de défaillance.

L'ICANN communiquera toute nouvelle information disponible à ce sujet et annoncera la nouvelle date du roulement le moment venu.

« Nous espérons que les opérateurs de réseau utiliseront ce délai supplémentaire pour s'assurer que leurs systèmes sont prêts pour le changement de clé », a ajouté Marby. « Notre plateforme d'essai (http://go.icann.org/KSKtest) aidera les opérateurs à vérifier que leurs résolveurs sont correctement configurés avec la nouvelle clé. Nous poursuivrons le dialogue et la communication avec ces opérateurs. »

À propos du DNSSEC

Pour identifier plus facilement les ressources de l'Internet, les adresses numériques qui en sont à la base sont représentées au moyen de chaînes de caractères lisibles par l'homme. La conversion de ces chaînes en numéros est assurée par le système de noms de domaine (DNS), un système distribué et hiérarchique. La complexité croissante de l'informatique et de la réseautique depuis leur conception en 1983 a rendu cet « annuaire téléphonique » plus vulnérable aux attaques. En réponse à ces menaces, l'organisation internationale de normalisation, l'IETF, a développé les extensions de sécurité du système des noms de domaine (DNSSEC), destinées à garantir par des moyens cryptographiques que les contenus du DNS ne puissent pas être modifiés par rapport à leur source sans que ce changement soit détecté. Le déploiement des DNSSEC empêche l'attaquant de rediriger les utilisateurs en se servant du DNS.

##

Pour être au courant des dernières informations sur le roulement de la KSK, rendez‑vous sur https://www.icann.org/resources/pages/ksk-rollover

Sur les médias sociaux, utilisez : #Keyroll


More Announcements
Domain Name System
Internationalized Domain Name ,IDN,"IDNs are domain names that include characters used in the local representation of languages that are not written with the twenty-six letters of the basic Latin alphabet ""a-z"". An IDN can contain Latin letters with diacritical marks, as required by many European languages, or may consist of characters from non-Latin scripts such as Arabic or Chinese. Many languages also use other types of digits than the European ""0-9"". The basic Latin alphabet together with the European-Arabic digits are, for the purpose of domain names, termed ""ASCII characters"" (ASCII = American Standard Code for Information Interchange). These are also included in the broader range of ""Unicode characters"" that provides the basis for IDNs. The ""hostname rule"" requires that all domain names of the type under consideration here are stored in the DNS using only the ASCII characters listed above, with the one further addition of the hyphen ""-"". The Unicode form of an IDN therefore requires special encoding before it is entered into the DNS. The following terminology is used when distinguishing between these forms: A domain name consists of a series of ""labels"" (separated by ""dots""). The ASCII form of an IDN label is termed an ""A-label"". All operations defined in the DNS protocol use A-labels exclusively. The Unicode form, which a user expects to be displayed, is termed a ""U-label"". The difference may be illustrated with the Hindi word for ""test"" — परीका — appearing here as a U-label would (in the Devanagari script). A special form of ""ASCII compatible encoding"" (abbreviated ACE) is applied to this to produce the corresponding A-label: xn--11b5bs1di. A domain name that only includes ASCII letters, digits, and hyphens is termed an ""LDH label"". Although the definitions of A-labels and LDH-labels overlap, a name consisting exclusively of LDH labels, such as""icann.org"" is not an IDN."